Institut Suprieur dInformatique
Travaux Pratiques Scurit Informatique
Les VPN IPSec sous Windows
Date : Lundi 11 et mardi 12 dcembre 2006
Pr-requis :
Pour raliser ce TP, il faut avoir :
- Une plateforme de rseau local quipe par des PC Windows (2000 ou XP) en rseau.
- Un analyseur de protocoles : IRIS ([Link]), ou Sniffer Pro et ou Ethereal, ou autres
- La documentation daide : fichier Config IPSec sous Windows.
Travail demand :
1/ Vrifier le bon fonctionnement des PC Windows en rseau. (Cblage, protocole TCP/IP, adressage, ping, )
2/ Lancer votre analyseur de protocole en mode capture.
3/ Gnrer des requtes ICMP (avec des ping ou avec un autre outil type FrameIP ou autres, )
4/ Capturer le trafic ICMP et observer la structure de la trame.
Est-ce que le trafic ICMP est en clair ? ou est ce quil est chiffr ?
Sauver ce trafic dans un fichier sur disque dur.
5/ Configurer vos PCs pour prendre en considration le protocole IPSec. (Suivez les instructions dans la documentation
daide la configuration de IPSec sous Windows).
6/ Pendant votre manipulation de IPSec, appliquer IPSec pour le chiffrement du trafic ICMP.
7/ Une fois la configuration de IPSec est termine, faites des ping sur des machines distantes et observez le trafic avec
votre analyseur de protocoles.
8/ Alors quest ce que vous observez ?
Est ce que le trafic est en clair ?
9/ Travaillez maintenant en binme.
Reconfigurer IPSec, changer les cls, les algorithmes de chiffrement,
Choisir par exemple de travailler avec le protocole AH, ou le protocole ESP.
Attention : Pour pouvoir chiffrer et dchiffrer, les tudiants doivent se mettre daccord sur les cls, les algorithmes,
�Configuration de IPsec entre deux terminaux sous Windows
Nous allons expliquer la procdure afin de mettre en uvre Ipsec en mode transport entre deux terminaux Windows.
Cette procdure est effectuer sur chacun des deux postes.
Dmarrer => Excuter => taper mmc => cliquer sur le bouton OK
La fentre suivante apparat (console mmc)
Ajout du composant logiciel de la stratgie de scurit IP
Menu Console => cliquer sur Ajouter/supprimer un composant logiciel enfichable
�La fentre suivante apparat
Cliquer sur le bouton Ajouter
�La fentre suivante apparat
Slectionner dans la liste Gestion de la stratgie de la scurit du protocole IP => cliquer sur Ajouter
La fentre suivante apparat
Slectionner Ordinateur local => cliquer sur Terminer
�Cliquer sur le bouton Fermer de la fentre suivante
Cliquer sur le bouton OK de la fentre suivante
La console MMC contient maintenant le composant de Stratgie de Scurit IP
�Cration dune nouvelle stratgie de scurit IP
Cliquer (bouton droit) sur Stratgie de Scurit IP => cliquer sur Crer une stratgie de scurit IP
�Entrez le nom de la stratgie de scurit IP (ex : Stratgie de scurit BERYTECH)
Cliquer sur le bouton Suivant
Dcocher la case intitule Activer la rgle de rponse par dfaut
Cliquer sur le bouton Suivant
�Cocher la case intitule Modifier les proprits
Cliquer sur le bouton Terminer
�Configuration de la nouvelle stratgie de scurit IP
Cration dune nouvelle rgle
Cliquer sur le bouton Ajouter
Cliquer sur le bouton Suivant
Cochez la case intitule Cette rgle ne spcifie aucun tunnel
�Cliquer sur le bouton Suivant
Slectionner le type de rseau. (ex : Toutes les connexions rseau)
Cliquer sur le bouton Suivant
Slectionner la mthode dauthenfication (ex : cl pr-partage : 123456789)
Nota : Pour utiliser le protocole Kerberos V5, il faut que les deux ordinateurs soient membre dun domaine.
�Cliquer sur le bouton Suivant
Cration dune nouvelle liste de filtre IP
Cliquer sur le bouton Ajouter
�Entrez le nom de la liste de filtre IP (ex : Filtre BERYTECH)
Cliquer sur le bouton Ajouter
Cration dun filtre IP
Cliquer sur le bouton Suivant
Slectionner Mon adresse IP comme adresse source du trafic IP
�Cliquer sur le bouton Suivant
Slectionner Une adresse IP spcifique comme adresse de destination du trafic IP => Saisir ladresse IP de lautre terminal Windows
(ex : [Link])
Nota : Ce paramtre est le seul qui diffre entre les deux configurations des terminaux Windows.
Cliquer sur le bouton Suivant
�Slectionner un type de protocole IP (ex : ICMP)
Cliquer sur le bouton Suivant
Cliquer sur le bouton Terminer
�Cliquer sur le bouton Fermer
Slectionner la liste de filtre cre (ex : Filtre BERYTECH)
Cliquer sur le bouton Suivant
�Slectionner laction de filtrage Exiger la scurit
Nota : Le bouton Modifier permet daccder aux proprits qui recensent les diffrentes mthodes de scurit
Cliquer sur le bouton Suivant
�Cliquer sur le bouton Terminer
Rcapitulatif de la configuration
Cette fentre est disponible lorsque lon souhaite modifier les proprits dune stratgie de scurit.
Fentre Proprits de la Stratgie de Scurit BERYTECH => Onglet Rgles
Cliquer sur le bouton Modifier
Onglet Liste de filtre IP
�Onglet Action de filtrage
�Onglet Mthodes dauthentification
Onglet Paramtres du tunnel
�Onglet Type de connexion
Fentre Proprits de la Stratgie de Scurit BERYTECH => Onglet Gnral
Cliquer sur le bouton Avanc pour paramtrer lchange des cls
�Cliquer sur le bouton Mthodes pour paramtrer les mthodes de scurit
�Attribution de la Stratgie de scurit IP dfinie
Cliquer (bouton droit) sur la Stratgie de scurit dfinie (ex : Stratgie de scurit BERYTECH) => cliquer sur Attribuer
